CISM0201密碼及網(wǎng)絡(luò)安全

密碼及網(wǎng)絡(luò)安全中國(guó)信息安全測(cè)評(píng)中心（20140819）課程內(nèi)容2密碼及網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全規(guī)劃及策略密碼學(xué)基礎(chǔ)知識(shí)常見(jiàn)網(wǎng)絡(luò)安全設(shè)備知識(shí)體：密碼及網(wǎng)絡(luò)安全知識(shí)域：密碼學(xué)基礎(chǔ)知識(shí)了解密碼學(xué)的基本概念和術(shù)語(yǔ)理解對(duì)稱(chēng)算法特點(diǎn)理解非對(duì)稱(chēng)算法特點(diǎn)了解散列算法、消息鑒別碼和簽名算法的作用3什么是密碼學(xué)為什么要進(jìn)行數(shù)據(jù)加密？為了數(shù)據(jù)安全！密碼學(xué)研究什么？密碼編碼學(xué)——主要研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)對(duì)信息的隱蔽、完整性驗(yàn)證等密碼分析學(xué)——主要研究加密信息的破譯或信息的偽造密碼學(xué)在信息安全中處于什么地位？信息安全的重要基礎(chǔ)技術(shù)4密碼學(xué)的發(fā)展歷史最早的有記載的加密文字：公元前19世紀(jì)古埃及第十二王朝尼羅河畔MenetKhufu鎮(zhèn)一位貴族的碑文目的是為了保持神秘和神圣5愷撒密碼6明文密文ATTACKNOWDWWDFNQRZ密碼學(xué)發(fā)展第一個(gè)階段是從古代到19世紀(jì)末——古典密碼（classicalcryptography)第二個(gè)階段從20世紀(jì)初到1949年——近代密碼第三個(gè)階段從C.E.Shannon（香農(nóng)）于1949年發(fā)表的劃時(shí)代論文“TheCommunicationTheoryofSecretSystems”開(kāi)始——現(xiàn)代密碼第四個(gè)階段從1976年W.Diffie和M.Hellman發(fā)表論文“NewDirectionsinCryptography”開(kāi)始——公鑰密碼7基本概念明文被隱蔽的消息被稱(chēng)做明文（PlainText密文隱蔽后的消息被稱(chēng)做密文(CipherText)加密將明文變換成密文的過(guò)程稱(chēng)為加密(Encryption)解密將密文變換成明文的過(guò)程稱(chēng)為解密(Decryption)8加密vs.解密加密（Encryption）：將明文變換為密文的過(guò)程把可懂的語(yǔ)言變換成（人類(lèi)/機(jī)器）不可懂的語(yǔ)言解密（Decryption）：由密文恢復(fù)出原明文的過(guò)程加密的逆過(guò)程即把不可懂的語(yǔ)言變換成可懂的語(yǔ)言9加密算法密鑰密文明文解密算法密鑰密文明文加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的,分別稱(chēng)為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)密碼裝置舉例10斯巴達(dá)人“天書(shū)”密碼艾伯蒂密碼圓盤(pán)轉(zhuǎn)輪密碼機(jī)ENIGMA密碼裝置舉例密碼機(jī)11Key,動(dòng)態(tài)口令卡對(duì)稱(chēng)密碼算法和非對(duì)稱(chēng)密碼算法對(duì)稱(chēng)密碼算法

加密密鑰與解密密鑰相同，所以又叫單鑰密碼。算法：DES非對(duì)稱(chēng)密碼算法加密密鑰與解密密鑰不同，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái)，所以又叫雙鑰密碼。算法：RSA12加密目的消息發(fā)送者和接收者在不安全的信道上進(jìn)行通信，要讓網(wǎng)絡(luò)上其他人不能理解他們通信的內(nèi)容13對(duì)稱(chēng)密碼算法典型對(duì)稱(chēng)密碼算法算法名稱(chēng)發(fā)布時(shí)間分組長(zhǎng)度密鑰長(zhǎng)度備注DES1970s6456NBS征集發(fā)布3DES1980s64112、168AES2000128128、192、256NIST征集發(fā)布，用于代替DESIDEA199264128X.J.Lai和J.L.Massey提出14DES算法密鑰長(zhǎng)度：56bits（加校驗(yàn)位后為64bits）分組長(zhǎng)度：64bits基本思想：混亂和擴(kuò)散15對(duì)稱(chēng)密碼算法的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：效率高，算法簡(jiǎn)單，系統(tǒng)開(kāi)銷(xiāo)小適合加密大量數(shù)據(jù)缺點(diǎn)：密鑰分發(fā)問(wèn)題需要以安全方式進(jìn)行密鑰分發(fā)和交換密鑰管理問(wèn)題密鑰數(shù)目和參與通信的人數(shù)平方成正比16非對(duì)稱(chēng)密碼算法非對(duì)稱(chēng)密碼算法（Asymmetriccipher）加密密鑰和解密密鑰不同，從一個(gè)很難推出另一個(gè)又叫公鑰密碼算法（Public-keycipher)對(duì)外公開(kāi)的密鑰，稱(chēng)為公開(kāi)密鑰，簡(jiǎn)稱(chēng)公鑰必須保密的密鑰，稱(chēng)為私有密鑰，簡(jiǎn)稱(chēng)私鑰用公鑰加密的信息只能用相應(yīng)的私鑰解密，反之亦然。典型算法RSA、ECC、SM2、ElGamal17非對(duì)稱(chēng)加密（公鑰）算法18RSA算法1977年由RonRivest、AdiShamir和LenAdleman發(fā)明，1978年正式公布算法建立在大整數(shù)因式分解的困難性之上目前應(yīng)用最廣泛的公鑰密碼算法19公鑰密碼體制的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：解決密鑰傳遞的問(wèn)題大大減少密鑰持有量提供了對(duì)稱(chēng)密碼技術(shù)無(wú)法或很難提供的服務(wù)（數(shù)字簽名）缺點(diǎn)：計(jì)算復(fù)雜、耗用資源大非對(duì)稱(chēng)會(huì)導(dǎo)致得到的密文變長(zhǎng)20散列函數(shù)散列函數(shù)哈希函數(shù)/算法、Hash函數(shù)/算法哈希值、散列值、摘要值作用將任意長(zhǎng)度的消息映射成一個(gè)較短的、定長(zhǎng)輸出報(bào)文的函數(shù) h=H(M),M是變長(zhǎng)的報(bào)文,h是定長(zhǎng)的散列值2121散列函數(shù)的特點(diǎn)H能夠應(yīng)用到任意長(zhǎng)度的數(shù)據(jù)上H能夠生成大小固定的輸出對(duì)于任意給定的x，H（x）的計(jì)算相對(duì)簡(jiǎn)單對(duì)于給定的散列值h，要發(fā)現(xiàn)滿(mǎn)足H（x）＝h的x在計(jì)算上是不可行的

對(duì)于給定的消息x，要發(fā)現(xiàn)另一個(gè)消息y滿(mǎn)足H（y）＝H（x）在計(jì)算上是不可行的常見(jiàn)算法MD5、SHA-1等

22散列函數(shù)完整性應(yīng)用場(chǎng)景舉例MSDN之windows7ultimate下載23數(shù)據(jù)數(shù)據(jù)哈希值散列函數(shù)消息鑒別碼24在網(wǎng)絡(luò)通信中，有一些針對(duì)消息內(nèi)容的攻擊方法偽造消息竄改消息內(nèi)容改變消息順序消息重放或者延遲消息認(rèn)證：對(duì)收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來(lái)自聲稱(chēng)的發(fā)送方，并且沒(méi)有被修改過(guò)。如果在消息中加入時(shí)間及順序信息，則可以完成對(duì)時(shí)間和順序的認(rèn)證MAC:MessageAuthenticationCode使用一個(gè)雙方共享的秘密密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊，并加入到消息中，稱(chēng)MAC，或密碼校驗(yàn)和(cryptographicchecksum)用戶(hù)A和用戶(hù)B，共享密鑰K，對(duì)于消息M，MAC=CK(M)如果接收方計(jì)算的MAC與收到的MAC匹配，則接收者可以確信消息M未被改變接收者可以確信消息來(lái)自所聲稱(chēng)的發(fā)送者如果消息中含有序列號(hào)，則可以保證正確的消息順序MAC函數(shù)類(lèi)似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少25MAC的動(dòng)機(jī)為了鑒別而加密整個(gè)報(bào)文不夠方便對(duì)稱(chēng)加密整個(gè)報(bào)文是個(gè)浪費(fèi)即使同時(shí)為了保密，也有另外的辦法和體制用非對(duì)稱(chēng)加密速度太慢，每秒僅百來(lái)筆后來(lái)引入了簽名體制鑒別和加密的分離帶來(lái)靈活性確實(shí)有時(shí)只要鑒別而不用(或不能)加密如法律文書(shū)、公開(kāi)信、聲明、公告、公證、鑒定等如軟件鑒別/防病毒、網(wǎng)絡(luò)管理報(bào)文等26HMAC把HASH值和一個(gè)Key結(jié)合起來(lái)不需要可逆目標(biāo)既能使用當(dāng)前的HASH函數(shù)，又可容易升級(jí)為新的HASH函數(shù)，并能保持散列函數(shù)的安全性簡(jiǎn)單，并易進(jìn)行密碼學(xué)分析27MAC不能解決的問(wèn)題發(fā)送者否認(rèn)發(fā)送過(guò)消息，聲稱(chēng)是別人偽造。接收者偽造消息，聲稱(chēng)其由某發(fā)送者發(fā)送。解決辦法不可否認(rèn)性28數(shù)字簽名傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證29數(shù)字簽名——抗抵賴(lài)性用戶(hù)A用戶(hù)B數(shù)據(jù)哈希值哈希算法用戶(hù)A的私鑰數(shù)據(jù)哈希值用戶(hù)A的公鑰哈希算法哈希值如果哈希值匹配，說(shuō)明該數(shù)據(jù)由該私鑰簽名。30數(shù)字簽名的要求抗偽造不知道簽名者私鑰的前提下，偽造一個(gè)數(shù)字簽名在計(jì)算上不可行(不可模仿)不可否認(rèn)性簽名者無(wú)法否認(rèn)自己的簽名可驗(yàn)證性數(shù)字簽名必須是在算法上可驗(yàn)證的可用性數(shù)字簽名的生成和驗(yàn)證必須相對(duì)簡(jiǎn)單

312023/2/4數(shù)字簽名應(yīng)用場(chǎng)景舉例小紅傘安裝文件32知識(shí)體：密碼及網(wǎng)絡(luò)安全知識(shí)域：網(wǎng)絡(luò)安全規(guī)劃及策略了解網(wǎng)絡(luò)安全面臨的威脅及網(wǎng)絡(luò)安全基本目標(biāo)了解常見(jiàn)網(wǎng)絡(luò)結(jié)構(gòu)的安全配置33網(wǎng)絡(luò)面臨的安全威脅物理安全威脅自然災(zāi)害：火災(zāi)、水浸、雷擊、地震、……設(shè)備問(wèn)題：電力故障、電磁泄漏、……人為破壞：爆炸、盜竊……網(wǎng)絡(luò)攻擊威脅利用缺陷攻擊：協(xié)議設(shè)計(jì)缺陷、協(xié)議實(shí)現(xiàn)缺陷利用業(yè)務(wù)攻擊：欺騙、拒絕服務(wù)、嗅探等人為錯(cuò)誤誤操作收買(mǎi)34什么是網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不受偶然的或者惡意的原因而遭到破壞、更改或泄露，系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全保障合法用戶(hù)正常使用網(wǎng)絡(luò)資源保障傳輸信息內(nèi)容合法避免遭受病毒傳播、惡意攻擊、越權(quán)訪問(wèn)等安全威脅35網(wǎng)絡(luò)安全防護(hù)劃分網(wǎng)絡(luò)安全域規(guī)劃網(wǎng)絡(luò)IP地址設(shè)計(jì)網(wǎng)絡(luò)安全策略36劃分網(wǎng)絡(luò)安全域安全域由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域統(tǒng)一安全域相同的邊界保護(hù)需求遵循同樣的安全策略劃分安全域把一個(gè)大規(guī)模的復(fù)雜系統(tǒng)的安全保護(hù)問(wèn)題，轉(zhuǎn)化為多個(gè)更小區(qū)域的安全保護(hù)問(wèn)題邊界防護(hù)、訪問(wèn)控制37安全域劃分示意圖38規(guī)劃網(wǎng)絡(luò)IP地址IP地址規(guī)劃網(wǎng)絡(luò)優(yōu)化運(yùn)行性能可管理性結(jié)構(gòu)化網(wǎng)絡(luò)分層劃分IP地址分區(qū)域分層次39IP地址分配方式40分配方式說(shuō)明優(yōu)點(diǎn)缺點(diǎn)靜態(tài)分配地址固定的、靜態(tài)不變的IP地址尋址容易，管理方便數(shù)量要求多，可被假冒動(dòng)態(tài)分配地址臨時(shí)分配IP地址數(shù)量需求小管理不方便網(wǎng)絡(luò)地址轉(zhuǎn)換私有網(wǎng)絡(luò)地址和公共網(wǎng)絡(luò)地址轉(zhuǎn)換使用緩解地址空間不足、對(duì)外隱藏內(nèi)網(wǎng)運(yùn)行效率低、影響需要公網(wǎng)地址的應(yīng)用正常運(yùn)行設(shè)計(jì)網(wǎng)絡(luò)安全策略設(shè)計(jì)網(wǎng)絡(luò)安全策略訪問(wèn)控制流量檢測(cè)安全審計(jì)遠(yuǎn)程接入網(wǎng)絡(luò)冗余41安全物理環(huán)境設(shè)計(jì)機(jī)房位置選址地下、一樓、頂樓、其他樓層等基礎(chǔ)支撐設(shè)備電力、防火、防水、防雷擊、防塵、抗干擾等安保門(mén)禁、攝像頭、保安員等42一些常見(jiàn)安全策略網(wǎng)絡(luò)訪問(wèn)策略允許高安全級(jí)別的安全域訪問(wèn)低級(jí)別的安全域限制低級(jí)別的安全域訪問(wèn)高安全級(jí)別的安全域設(shè)定不同安全域間訪問(wèn)規(guī)則網(wǎng)絡(luò)安全設(shè)備策略配置先緊后松，不是明確允許的就禁止設(shè)備自身安全設(shè)備日志保護(hù)43知識(shí)體：密碼及網(wǎng)絡(luò)安全知識(shí)域：常見(jiàn)網(wǎng)絡(luò)安全設(shè)備理解網(wǎng)絡(luò)邊界安全產(chǎn)品功能和主要產(chǎn)品，理解防火墻、入侵檢測(cè)系統(tǒng)的功能特點(diǎn)理解網(wǎng)絡(luò)連接安全產(chǎn)品功能和主要產(chǎn)品，了解IPSecVPN和SSLVPN特點(diǎn)和區(qū)別了解網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品功能和相關(guān)產(chǎn)品了解安全管理平臺(tái)、統(tǒng)一威脅管理以及網(wǎng)絡(luò)安全審計(jì)等產(chǎn)品功能44常見(jiàn)網(wǎng)絡(luò)安全設(shè)備常見(jiàn)網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)邊界安全產(chǎn)品防火墻、入侵檢測(cè)系統(tǒng)、安全隔離與信息交換系統(tǒng)網(wǎng)絡(luò)連接安全產(chǎn)品IPSecVPN、SSLVPN網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品Web應(yīng)用防火墻、網(wǎng)頁(yè)防篡改系統(tǒng)其他網(wǎng)絡(luò)安全產(chǎn)品安全管理平臺(tái)、統(tǒng)一威脅管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)45防火墻基本概念什么是防火墻一種協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。防火墻部署在哪可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級(jí)別網(wǎng)絡(luò)之間兩個(gè)需要隔離的區(qū)域之間46為什么需要防火墻控制：在網(wǎng)絡(luò)連接點(diǎn)上建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息防火墻基本概念47安全網(wǎng)域一防火墻主要功能對(duì)出入網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行管理和控制防止IP地址欺騙過(guò)濾出入網(wǎng)絡(luò)的數(shù)據(jù)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)防止內(nèi)部網(wǎng)絡(luò)信息外泄，保護(hù)內(nèi)網(wǎng)結(jié)構(gòu)48防火墻基本概念防火墻的分類(lèi)按防火墻形態(tài)硬件防火墻軟件防火墻按采用技術(shù)包過(guò)濾型應(yīng)用代理型混合類(lèi)型其他分類(lèi)方法49防火墻的實(shí)現(xiàn)技術(shù)-包過(guò)濾實(shí)現(xiàn)機(jī)制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來(lái)控制數(shù)據(jù)包網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類(lèi)型50安全網(wǎng)域一防火墻的實(shí)現(xiàn)技術(shù)-包過(guò)濾優(yōu)點(diǎn):只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)行分析，規(guī)則簡(jiǎn)單，處理速度較快易于配置對(duì)用戶(hù)透明，用戶(hù)訪問(wèn)時(shí)不需要提供額外的密碼或使用特殊的命令缺點(diǎn)：檢查和過(guò)濾器只在網(wǎng)絡(luò)層，不能識(shí)別應(yīng)用層協(xié)議或維持連接狀態(tài)安全性薄弱，不能防止IP欺騙等51防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)52可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事區(qū)防火墻的策略設(shè)置沒(méi)有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開(kāi)放沒(méi)有明確禁止的就是允許對(duì)明確禁止的設(shè)置策略53防火墻的策略設(shè)置可信網(wǎng)絡(luò)可向DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求54可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的策略設(shè)置DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請(qǐng)求DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請(qǐng)求根據(jù)業(yè)務(wù)需要確定55可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的不足和局限性難于管理和配置，易造成安全漏洞防外不防內(nèi)，不能防范惡意的內(nèi)部攻擊者無(wú)法發(fā)現(xiàn)和阻止應(yīng)用層的攻擊無(wú)法發(fā)現(xiàn)和阻止源自其它入口的攻擊防火墻本身也會(huì)出現(xiàn)問(wèn)題和受到攻擊56入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的功能和作用入侵檢測(cè)系統(tǒng)的分類(lèi)入侵檢測(cè)系統(tǒng)的部署入侵檢測(cè)系統(tǒng)的局限性57什么是入侵檢測(cè)系統(tǒng)？58什么是入侵檢測(cè)系統(tǒng)一種通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的設(shè)備入侵檢測(cè)系統(tǒng)部署在哪數(shù)據(jù)流入流出點(diǎn)關(guān)鍵位置入侵檢測(cè)系統(tǒng)的價(jià)值及作用為什么需要入侵檢測(cè)系統(tǒng)防火墻的重要補(bǔ)充構(gòu)建網(wǎng)絡(luò)安全防御體系的重要環(huán)節(jié)克服傳統(tǒng)防御機(jī)制的限制入侵檢測(cè)系統(tǒng)能做什么檢測(cè)對(duì)網(wǎng)絡(luò)和系統(tǒng)的攻擊行為對(duì)攻擊行為作出響應(yīng)59入侵檢測(cè)系統(tǒng)的分類(lèi)（一）按系統(tǒng)形態(tài)硬件形態(tài)軟件形態(tài)按檢測(cè)原理異常檢測(cè)誤用檢測(cè)（特征檢測(cè)）混合檢測(cè)60入侵檢測(cè)系統(tǒng)的分類(lèi)（二）按數(shù)據(jù)來(lái)源基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)61主機(jī)入侵檢測(cè)系統(tǒng)什么是主機(jī)入侵檢測(cè)運(yùn)行在被檢測(cè)主機(jī)上，通過(guò)對(duì)主機(jī)數(shù)據(jù)包和主機(jī)上的系統(tǒng)調(diào)用、資源使用狀態(tài)進(jìn)行分析，發(fā)現(xiàn)可能的入侵通常是軟件形式62主機(jī)入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)和不足優(yōu)點(diǎn)運(yùn)行在被檢測(cè)的主機(jī)上，能檢測(cè)主機(jī)系統(tǒng)運(yùn)行情況能精確地判斷攻擊行為是否成功能監(jiān)控主機(jī)上特定用戶(hù)活動(dòng)情況適用加密環(huán)境不足與主機(jī)平臺(tái)有關(guān)，可移植性差影響目標(biāo)主機(jī)的性能無(wú)法檢測(cè)基于網(wǎng)絡(luò)的入侵行為63網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)什么是網(wǎng)絡(luò)入侵檢測(cè)采集網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)視并分析這些數(shù)據(jù)，識(shí)別攻擊事件部署在核心網(wǎng)絡(luò)或重要網(wǎng)絡(luò)位置通常是硬件形式64網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)和不足優(yōu)點(diǎn)具有平臺(tái)無(wú)關(guān)性不影響主機(jī)的性能能夠在較大的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行安全檢測(cè)可檢測(cè)基于協(xié)議的攻擊行為不足無(wú)法應(yīng)對(duì)加密數(shù)據(jù)流量不能檢測(cè)主機(jī)內(nèi)部發(fā)生的入侵行為不適合高速交換環(huán)境，處理負(fù)荷較重65入侵檢測(cè)系統(tǒng)的典型部署66可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機(jī)關(guān)鍵位置HIDSNIDSNIDSNIDS入侵檢測(cè)系統(tǒng)的局限性使用復(fù)雜配置、操作和管理使用較為復(fù)雜檢測(cè)速度慢相比網(wǎng)絡(luò)傳輸速率，入侵檢測(cè)系統(tǒng)的檢測(cè)速度低誤警率高會(huì)產(chǎn)生大量無(wú)用的誤警信息和“入侵”行為記錄分析算法需要完善缺乏有限關(guān)聯(lián)分析算法自身安全防護(hù)難性能有限，難以設(shè)置強(qiáng)大的自身防護(hù)能力67安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng)一種帶有多種控制功能的專(zhuān)用硬件設(shè)備放置在兩個(gè)安全級(jí)別不一樣的網(wǎng)絡(luò)之間，在電路上切斷兩個(gè)網(wǎng)絡(luò)之間的鏈路層連接，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行可控的應(yīng)用數(shù)據(jù)交換，只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)名稱(chēng)安全隔離網(wǎng)閘隔離網(wǎng)閘網(wǎng)閘68網(wǎng)絡(luò)區(qū)域間數(shù)據(jù)交換傳統(tǒng)解決辦法人工擺渡數(shù)據(jù)移動(dòng)硬盤(pán)、U盤(pán)、光盤(pán)網(wǎng)閘解決方案69網(wǎng)閘和防火墻區(qū)別70安全隔離與信息交換系統(tǒng)防火墻系統(tǒng)結(jié)構(gòu)采用雙主機(jī)系統(tǒng)或三機(jī)系統(tǒng)，內(nèi)端機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接，外端機(jī)與外網(wǎng)連接一般是單主機(jī)系統(tǒng)，同時(shí)與內(nèi)網(wǎng)、外網(wǎng)連接內(nèi)部通訊協(xié)議采用自身定義的私有通訊協(xié)議采用通用通訊協(xié)議，即TCP/IP協(xié)議內(nèi)外網(wǎng)實(shí)時(shí)連接采用專(zhuān)用硬件控制，內(nèi)外網(wǎng)之間沒(méi)有實(shí)時(shí)連接采用實(shí)時(shí)連接應(yīng)用協(xié)議解析需要對(duì)應(yīng)用層的協(xié)議進(jìn)行解析，支持定制解析一般不解析應(yīng)用層協(xié)議虛擬專(zhuān)用網(wǎng)產(chǎn)品VPN的作用和功能VPN的分類(lèi)IPSecVPN和SSLVPN介紹71VPN的基本概念什么是VPN虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡(jiǎn)稱(chēng)VPN)指的是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。為什么需要VPN專(zhuān)用網(wǎng)絡(luò)：安全性好、價(jià)格昂貴、難擴(kuò)展、不靈活分組交換：安全性差、價(jià)格便宜、擴(kuò)展性好將專(zhuān)用網(wǎng)的安全特性和分組交換網(wǎng)的廉價(jià)和易于擴(kuò)展的特性結(jié)合在一起，這就是VPN的動(dòng)機(jī)利用共享的互聯(lián)網(wǎng)設(shè)施，模擬“專(zhuān)用”廣域網(wǎng)，最終以極低的費(fèi)用為遠(yuǎn)程用戶(hù)提供能和專(zhuān)用網(wǎng)絡(luò)相媲美的保密通信服務(wù)72VPN的特點(diǎn)成本低利用已有公網(wǎng)，無(wú)需建設(shè)專(zhuān)用線(xiàn)路安全保障通過(guò)身份認(rèn)證、傳輸加密技術(shù)保證會(huì)話(huà)和數(shù)據(jù)傳輸安全服務(wù)質(zhì)量保證可以為用戶(hù)提供不同等級(jí)的服務(wù)質(zhì)量保證可管理性強(qiáng)使用簡(jiǎn)單、靈活，管理和設(shè)置方便可擴(kuò)展性高易于增加新的網(wǎng)絡(luò)節(jié)點(diǎn)，并支持各種協(xié)議73加密數(shù)據(jù)，保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露信息認(rèn)證和身份認(rèn)證，確保用戶(hù)的合法性信息的完整性、合法性，確保信息不會(huì)被篡改提供訪問(wèn)控制，不同的用戶(hù)有不同的訪問(wèn)權(quán)限VNP基本功能74VPN的類(lèi)型按協(xié)議層次可以分為二層VPN、三層VPN和應(yīng)用層VPN按應(yīng)用范圍遠(yuǎn)程訪問(wèn)VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN按體系結(jié)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)VPN、主機(jī)到網(wǎng)關(guān)VPN和主機(jī)到主機(jī)VPN75按應(yīng)用劃分的VPN遠(yuǎn)程訪問(wèn)VPN用于實(shí)現(xiàn)移動(dòng)用戶(hù)或遠(yuǎn)程辦公安全訪問(wèn)企業(yè)網(wǎng)絡(luò)內(nèi)聯(lián)網(wǎng)VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)外聯(lián)網(wǎng)VPN用于企業(yè)與客戶(hù)、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)76內(nèi)聯(lián)網(wǎng)VPNRouterInternetPOPor遠(yuǎn)程訪問(wèn)VPN外聯(lián)網(wǎng)VPN按體系結(jié)構(gòu)分類(lèi)的VPN網(wǎng)關(guān)到網(wǎng)關(guān)體系結(jié)構(gòu)示例主機(jī)到主機(jī)體系結(jié)構(gòu)示例主機(jī)到網(wǎng)關(guān)體系結(jié)構(gòu)示例77IPSec

VPN產(chǎn)品SSL

VPN產(chǎn)品VPN有關(guān)產(chǎn)品78IPSec是IPSecurity的縮寫(xiě)，是目前遠(yuǎn)程訪問(wèn)VPN網(wǎng)絡(luò)的基礎(chǔ)IPSec的加密功能可以在互聯(lián)網(wǎng)上創(chuàng)建出安全的信道來(lái)。IPSec協(xié)議79IPSECVPN功能數(shù)據(jù)保密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證80什么是SSLVPN安全套接字層（SecureSocketLayer，SSL）屬于高層安全機(jī)制，廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序一般來(lái)說(shuō)，客戶(hù)方對(duì)服務(wù)器方進(jìn)行認(rèn)證是必須的SSLVPN技術(shù)能夠讓用戶(hù)通過(guò)標(biāo)準(zhǔn)的Web瀏覽器就可以訪問(wèn)重要的企業(yè)應(yīng)用。SSLVPN網(wǎng)關(guān)位于企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶(hù)之間，控制二者的通信SSLVPN產(chǎn)品81SSL(SecuresocketLayer)安全套接層協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴(lài)性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WebServer方式功能：服務(wù)器認(rèn)證、客戶(hù)認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性SSL通過(guò)在瀏覽器軟件和web服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在Internet中傳送的保密性SSL協(xié)議82項(xiàng)目IPSecVPNSSLVPN身份驗(yàn)證雙向/支持?jǐn)?shù)字證書(shū)單/雙向/支持?jǐn)?shù)字證書(shū)加密支持多種加密算法支持多種加密算法安裝部署需在每個(gè)客戶(hù)端安裝，部署成本高無(wú)需安裝客戶(hù)端，部署成本低易用性較復(fù)雜，需要培訓(xùn)簡(jiǎn)單友好應(yīng)用支持所有基于IP協(xié)議的服務(wù)適用各種應(yīng)用HTTP/TELNET/FTP，適用B/S程序用戶(hù)適合于企業(yè)內(nèi)部使用